網絡層及web應用層的安全技術研究(五)

                            圖10

通過服務器上iis日志查找，近期內未發現入侵流程，因為網站采用通用的servercms，且根據google緩存可知，網站采用過此CMS的舊版程序，舊版CMS存在眾多的安全漏洞，可能在升級系統前已被黑客入侵。

2.通過對服務器上文件進行安全檢查，發現網站殘留眾多的暗鏈生成文件和webshell(web上的木馬)。

                            圖11

                            圖12

                                  圖13 

3.惡意文件中含有一句話web木馬，通過此木馬可以遍歷網站文件，如數據庫連接文件：

                             圖14

通過mssql調用系統xp_cmdshell函數便可執行系統命令：

                             圖16

調用系統system權限的系統命令便可執行修改用戶密碼的操作。

補充說明

1.服務器系統日志僅開啟了用戶登錄成功后記錄，未開啟用戶操作日志記錄，請管理員按照安全基線進行配置

2.網站眾多目錄下依然存在感染文件，請清除。

五．主要研究sql注入攻擊的形為分析

5.1  SQL注入原理

    SQL注入是目前比較常見的針對數據庫的一種攻擊方式。在這種攻擊方式中，攻擊者會將一些惡意代碼插入到字符串中。然后會通過各種手段將該字符串傳遞到SQLServer數據庫的實例中進行分析和執行。只要這個惡意代碼符合SQL語句的規則，則在代碼編譯與執行的時候，就不會被系統所發現。

　　SQL注入式攻擊的主要形式有兩種。一是直接將代碼插入到與SQL命令串聯在一起并使得其以執行的用戶輸入變量。上面筆者舉的例子就是采用了這種方法。由于其直接與SQL語句捆綁，故也被稱為直接注入式攻擊法。二是一種間接的攻擊方法，它將惡意代碼注入要在表中存儲或者作為原書據存儲的字符串。在存儲的字符串中會連接到一個動態的SQL命令中，以執行一些惡意的SQL代碼。

　　注入過程的工作方式是提前終止文本字符串，然后追加一個新的命令。如以直接注入式攻擊為例。就是在用戶輸入變量的時候，先用一個分號結束當前的語句。然后再插入一個惡意SQL語句即可。由于插入的命令可能在執行前追加其他字符串，因此攻擊者常常用注釋標記“—”來終止注入的字符串。執行時，系統會認為此后語句位注釋，故后續的文本將被忽略，不背編譯與執行。

5.2 SQL注入攻擊的簡單示例 

    statement := "SELECT * FROM Users WHERE Value= " + a_variable + "

　　上面這條語句是很普通的一條SQL語句，他主要實現的功能就是讓用戶輸入一個員工編號然后查詢處這個員工的信息。但是若這條語句被不法攻擊者改裝過后，就可能成為破壞數據的黑手。如攻擊者在輸入變量的時候，輸入以下內容SA001’;drop table c_order--。那么以上這條SQL語句在執行的時候就變為了SELECT * FROM Users WHERE Value= ‘SA001’;drop table c_order--。

這條語句是什么意思呢?‘SA001’后面的分號表示一個查詢的結束和另一條語句的開始。c_order后面的雙連字符 指示當前行余下的部分只是一個注釋，應該忽略。如果修改后的代碼語法正確，則服務器將執行該代碼。系統在處理這條語句時，將首先執行查詢語句，查到用戶編號為SA001 的用戶信息。然后，數據將刪除表C_ORDER(如果沒有其他主鍵等相關約束，則刪除操作就會成功)。只要注入的SQL代碼語法正確，便無法采用編程方式來檢測篡改。因此，必須驗證所有用戶輸入，并仔細檢查在您所用的服務器中執行構造 SQL命令的代碼。

5.3 SQL注入式攻擊的防治

1、 普通用戶與系統管理員用戶的權限要有嚴格的區分。

　　如果一個普通用戶在使用查詢語句中嵌入另一個Drop Table語句，那么是否允許執行呢?由于Drop語句關系到數據庫的基本對象，故要操作這個語句用戶必須有相關的權限。在權限設計中，對于終端用戶，即應用軟件的使用者，沒有必要給他們數據庫對象的建立、刪除等權限。那么即使在他們使用SQL語句中帶有嵌入式的惡意代碼，由于其用戶權限的限制，這些代碼也將無法被執行。故應用程序在設計的時候，最好把系統管理員的用戶與普通用戶區分開來。如此可以最大限度的減少注入式攻擊對數據庫帶來的危害。

　　2、 強迫使用參數化語句。

　　如果在編寫SQL語句的時候，用戶輸入的變量不是直接嵌入到SQL語句。而是通過參數來傳遞這個變量的話，那么就可以有效的防治SQL注入式攻擊。也就是說，用戶的輸入絕對不能夠直接被嵌入到SQL語句中。與此相反，用戶的輸入的內容必須進行過濾，或者使用參數化的語句來傳遞用戶輸入的變量。參數化的語句使用參數而不是將用戶輸入變量嵌入到SQL語句中。采用這種措施，可以杜絕大部分的SQL注入式攻擊。不過可惜的是，現在支持參數化語句的數據庫引擎并不多。不過數據庫工程師在開發產品的時候要盡量采用參數化語句。

　　3、 加強對用戶輸入的驗證。

　　總體來說，防治SQL注入式攻擊可以采用兩種方法，一是加強對用戶輸入內容的檢查與驗證;二是強迫使用參數化語句來傳遞用戶輸入的內容。在SQLServer數據庫中，有比較多的用戶輸入內容驗證工具，可以幫助管理員來對付SQL注入式攻擊。測試字符串變量的內容，只接受所需的值。拒絕包含二進制數據、轉義序列和注釋字符的輸入內容。這有助于防止腳本注入，防止某些緩沖區溢出攻擊。測試用戶輸入內容的大小和數據類型，強制執行適當的限制與轉換。這即有助于防止有意造成的緩沖區溢出，對于防治注入式攻擊有比較明顯的效果。

　　如可以使用存儲過程來驗證用戶的輸入。利用存儲過程可以實現對用戶輸入變量的過濾，如拒絕一些特殊的符號。如以上那個惡意代碼中，只要存儲過程把那個分號過濾掉，那么這個惡意代碼也就沒有用武之地了。在執行SQL語句之前，可以通過數據庫的存儲過程，來拒絕接納一些特殊的符號。在不影響數據庫應用的前提下，應該讓數據庫拒絕包含以下字符的輸入。如分號分隔符，它是SQL注入式攻擊的主要幫兇。如注釋分隔符。注釋只有在數據設計的時候用的到。一般用戶的查詢語句中沒有必要注釋的內容，故可以直接把他拒絕掉，通常情況下這么做不會發生意外損失。把以上這些特殊符號拒絕掉，那么即使在SQL語句中嵌入了惡意代碼，他們也將毫無作為。

　　故始終通過測試類型、長度、格式和范圍來驗證用戶輸入，過濾用戶輸入的內容。這是防止SQL注入式攻擊的常見并且行之有效的措施。